Uygulama güvenliği

Uygulama güvenliği; internet ve mobil uygulamalardaki ve uygulama programlama arayüzlerindeki (API) yazılım zafiyetlerini kapsayan geniş bir konudur. Bu zafiyetler kullanıcıların doğrulanması veya yetkilendirilmesi, kod ve konfigürasyonların bütünlüğü ve vadesi gelmiş politikalar ve prosedürlerde bulunabilir. Uygulama zafiyetleri önemli bilgi güvenliği ihlalleri için açık noktalar yaratabilir. Uygulama güvenliği, bilgi güvenliği açısından çevresel savunmanın önemli bir bölümüdür.

Bulut güvenliği

Bulut güvenliği; bulut ortamlarında güvenli uygulamaların kurulmasına, barındırılmasına ve üçüncü taraf bulut uygulamaların güvenli bir şekilde kullanılmasına odaklanmaktadır. Basit bir şekilde ifade etmek gerekirse ‘‘bulut’, uygulamanın paylaşılan bir ortamda kullanıldığını ifade etmektedir. İşletmeler paylaşılan ortamlarda farklı süreçler arasında yeterli ayrım sağlandığından emin olmalıdırlar.

Kriptografi

Transit haldeki ve sabit durumdaki verilerin şifrelenmesi, veri gizliliğinin ve bütünlüğünün sağlanmasına yardım eder. Verilerin doğruluğunu teyit etmek için dijital imzalar yaygın bir şekilde kullanılmaktadır. Kriptografi ve şifrelemenin önemi artmıştır. Advanced Encryption Standard/Gelişmiş Şifreleme Standardı (AES) kriptografi kullanımına iyi bir örnektir. AES; gizli devlet bilgilerinin korunması için kullanılan simetrik bir anahtar algoritmadır.

Altyapı güvenliği

Altyapı güvenliği; iç ve dış ağların, laboratuvarların, veri merkezlerinin, server’ların, masaüstü bilgisayarların ve mobil cihazların korunmasıyla ilişkilidir.

Olay müdahalesi

Olay müdahalesi; potansiyel olarak zararlı davranışları izleyen ve araştıran fonksiyondur.

İhlallere karşı hazırlık yapan BT personelinin tehdidi kontrol altına almak ve ağı eski haline getirmek için bir olay müdahale planı olmalıdır. Ayrıca söz konusu plan; adli tıp analizi ve potansiyel soruşturmalar için kanıtları muhafaza eden bir sistem yaratmalıdır. Bu veriler daha fazla ihlalin önlenmesine ve personelin saldırganı tespit etmesine yardım edebilir.

Zafiyet yönetimi

Zafiyet yönetimi; bir ortamdaki zayıf noktaların tespit edildiği (örneğin yamasız yazılımlar) ve risk esas alınarak çözüm önceliğinin belirlendiği süreçtir.

İşletmeler pek çok ağda uygulamalar, kullanıcılar, altyapı vb.’lerini eklemektedir. Bu nedenle ağdaki potansiyel açıkların sürekli olarak taranması önem taşımaktadır. Bir zafiyetin önceden tespit edilmesi, işletmenizin bir ihlalin yıkıcı maliyetlerinden tasarruf etmesini sağlayabilir.

6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerinin korunması ve bu verileri işleyen kişilerin yükümlülüklerinin düzenlenmesi amaçlanmaktadır. Yürürlüğe giriş tarihi olan 07.10.2016'dan itibaren bu kanun, kişisel veri işleyen tüm kuruluşlar için pek çok sorumluluğu da beraberinde getirmektedir.

İşletmenizin ne gibi kişisel verileri koruması gerekiyor?

• Çalışanların kişisel bilgileri (kimlik bilgileri, adres, doğum tarihi, vb.)
• Müşterilerin/hastaların/konaklayanların kişisel bilgileri (pazarlama veritabanları sağlık kayıtları, iletişim listeleri)
• İş ortaklarının ve hizmet sağlayıcıların kamuya açık olmayan kişisel verileri
• Üçüncü şahıslara aktarılıp işlenen kişisel bilgiler (muhasebe kayıtları, kredi sicilleri, doğrudan pazarlama)

KVKK uyumluluğu için verilerinizi nasıl güvende tutabilirsiniz?

Veri denetimi

Şirketinizin sahip olduğu tüm verilerin nasıl kullanıldığını bilmek zorundasınız. Hassas içeriğe sahip verilerin nereye taşındığını, bu verileri kimlerin, ne amaçla kullandığını görüntülemeniz gereklidir.

Çalışanların eğitimi

Her çalışan hangi verinin ne şekilde kullanılması gerektiğini bilmelidir. Çalışanları güvenlik politikanız hakkında bilgilendirerek veri kullanım sınırlarını belirleyebilirsiniz.

Veri kullanım kuralları

Kişisel verilerle kimlerin, ne şekilde çalışabileceği konusunda kesin kurallar oluşturmalısınız. Bu kurallar kağıt üzerinde kalmamalı, etkin bir şekilde uygulanmalıdır.

Şifreleme

Kişisel bilgiler içeren tüm veriler şifrelenmelidir. Şifreleme kullanımını uç noktalar da dahil olmak üzere tüm şirketinize yaymalısınız. 

Veri sızıntısı önleme (DLP)

Veri sızıntısı önleme, mutlaka etkin bir şekilde uygulanmalı ve tüm iletişim kanallarını kapsamalıdır. E-posta, yazıcılar, USB, DVD gibi çıkarılabilir cihazlar ve diğer iletişim kanalları denetlenerek yalnızca belirli verilerin şirket dışına çıkabilmesi sağlanmalıdır.